如果我打开组织策略约束“域限制共享”(doc) 并将其设置为仅允许我的组织域 foo.com,这会阻止大量平台服务帐户获得其 IAM 权限吗?例如,域 @iam.gserviceaccount.com 或 @developer.gserviceaccount.com 中的帐户。这些服务帐户在所有地方都得到配置和授予权限。我担心启用“域限制共享”会阻止这些帐户拥有 IAM 访问权限。
问这个问题的另一种方式是:“域限制共享”忽略这些基于平台的服务帐户吗?如果没有,我觉得很难维护一个例外列表。
一个更基本的问题 - “域限制共享”是否仅适用于 Cloud Identity/Google Workspace 帐户,因此与服务帐户无关?
【问题讨论】:
标签: google-cloud-platform google-cloud-identity
在此答案中,我使用术语 Google Cloud Identities 表示由 Google Cloud 而不是其他 Google 服务(例如 Gmail)创建的身份,例如服务帐户、服务代理等。
如果打开组织政策限制“域受限 分享”...
没有。政策约束不会影响 Google Cloud 身份,例如服务帐号。如果是这种情况,您的项目很快就会崩溃并失败。
一个更基本的问题 - 仅“域限制共享”吗 适用于 Cloud Identity / Google Workspace 帐号,因此不适用于 与服务帐户相关吗?
域限制共享适用于所有非 Google Cloud 身份,例如 Google Workspace、Cloud Identity 和 Gmail 样式的帐户。您可以将由 Google Workspace 管理/控制的域的成员定义为允许 (me@example.com),而阻止不属于该域 (me@gmail.com) 的身份。
目前,仅支持由 Google Workspace 管理的域。不支持 Cloud Identity 指定允许的域,除非该域名也是组织名称。 (注意:我找不到此声明的权威参考,将来可能会改变)。
【讨论】: